Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Après avoir configuré les options de facturation et d’utilisation pour Enquêtes sur la sécurité des données (préversion) et attribué des autorisations aux analystes de votre organization qui gèrent les investigations, l’étape suivante consiste à créer et gérer une investigation pour les activités de collecte et d’analyse.
Tableau de bord Des investigations
En fonction de vos autorisations, les investigations dans votre organization sont affichées dans le tableau de bord Investigations du portail Microsoft Purview. Si vous n’êtes pas affecté dans le groupe de rôles Enquêtes sur la sécurité des données Administration, vous pouvez uniquement afficher les enquêtes qui vous sont affectées en tant qu’enquêteur ou réviseur.
Le tableau de bord Investigations vous permet de voir rapidement les enquêtes dans votre organization auxquelles vous avez accès, la description des enquêtes et les informations importantes associées à chaque enquête.
- Nom : nom de l’enquête. Le nom des investigations doit être unique dans votre organization.
- Description : description de l’enquête entrée lors de la création de l’affaire.
- Créé le : date et heure en temps universel coordonné (UTC) auxquelles l’examen a été créé.
- Dernière modification : date et heure en temps universel coordonné (UTC) de la dernière modification de l’examen.
Vous pouvez personnaliser les colonnes affichées et l’ordre des colonnes dans le tableau de bord Investigations en sélectionnant Modifier les colonnes. Choisissez les colonnes à afficher ou faites glisser-déplacer les colonnes à réorganiser.
Modèles d’investigation
Les modèles d’investigation vous permettent de créer rapidement une investigation basée sur les caractéristiques de données courantes, les types de données et l’utilisation de requêtes en langage naturel. Un seul modèle par investigation est pris en charge. Pour les mot clé, l’identificateur unique, les types d’informations sensibles et les étiquettes de confidentialité, vous définissez également la plage de dates, les utilisateurs et la source de locataire pour l’examen.
Les modèles d’investigation suivants sont disponibles :
- Mot clé : choisissez des mots clés spécifiques pour l’examen. Séparez chaque mot clé par une virgule lors de l’utilisation de plusieurs mots clés. Par exemple, pour inclure les mots clés confidentiel et Project Contoso, entrez confidentiel, project contoso.
- Identificateur unique : choisissez des identificateurs uniques spécifiques pour l’examen. Les identificateurs uniques associés aux éléments et activités inclus dans le journal d’audit Microsoft 365 sont pris en charge. Par exemple, l’ID de message d’un e-mail est un identificateur pris en charge. Séparez chaque identificateur par une virgule lors de l’utilisation de plusieurs identificateurs.
- Types d’informations sensibles : choisissez une valeur parmi les types d’informations sensibles disponibles et définissez les plages de confiance minimales et maximales. La plage de confiance est le niveau de confiance selon lequel le type sensible détecté est en fait une correspondance.
- Étiquettes de confidentialité : choisissez une ou plusieurs étiquettes de confidentialité pour l’examen.
- Langage naturel : créez une requête en décrivant ce dont vous avez besoin pour l’investigation. Incluez des détails sur les utilisateurs, les sources de données et le contenu.
Créer une investigation
Selon le scénario, les investigations sont créées dans chacune des méthodes suivantes :
- À partir Microsoft Defender XDR incidents : créez une investigation à partir d’un incident Defender XDR.
- Manuellement avec un modèle de recherche : créez rapidement une investigation à l’aide de modèles de recherche prédéfinis.
- Manuellement avec le mode brouillon complet : créez une investigation à l’aide de l’option de mode brouillon complet pour configurer des sources de données et des conditions de recherche spécifiques.
Créer une investigation à partir de Defender XDR
Avec l’intégration à la solution Microsoft Defender XDR, vous pouvez rapidement ouvrir une enquête dans Enquêtes sur la sécurité des données (préversion) dans le cadre de votre réponse aux incidents de violation de données. Vous pouvez créer une investigation à partir de Defender XDR incidents contenant des nœuds de boîte aux lettres, de courrier électronique ou de fichier. Pour créer des investigations dans Enquêtes sur la sécurité des données (préversion) dans le portail Microsoft Defender, vous devez disposer des rôles suivants :
Créez une investigation à partir d’un incident Defender XDR à l’aide de l’une des méthodes suivantes :
- Sélectionnez Créer une investigation dans la bannière Enquêtes sur la sécurité des données (préversion) en haut de tout incident dans Defender XDR. Cette bannière s’affiche automatiquement si l’incident peut contenir des informations sensibles. La nouvelle investigation contient tous les nœuds inclus dans l’incident Defender XDR.
- Sélectionnez Créer une investigation de sécurité des données dans le contrôle de sélection en haut à droite d’une page d’incident. La nouvelle investigation contient tous les nœuds inclus dans l’incident Defender XDR.
- Sélectionnez une boîte aux lettres, un message électronique ou un nœud de fichier dans l’incident Defender XDR pour afficher le menu du nœud, puis sélectionnez Créer un incident de sécurité des données. L’examen contient uniquement le nœud sélectionné à partir de l’incident Defender XDR.
Une fois que vous avez sélectionné l’une des options précédentes, la boîte de dialogue Créer une investigation de sécurité des données s’affiche. Suivez les étapes ci-dessous :
- Dans le champ Nom , donnez un nom à l’examen (obligatoire). Le nom de l’enquête doit être unique dans votre organization. Si le nom que vous entrez n’est pas unique, vous êtes averti lorsque vous sélectionnez Créer.
- Dans le champ Description , ajoutez une description facultative pour aider les autres utilisateurs à comprendre cette investigation.
- Dans le champ Étendue , choisissez les éléments de l’incident à inclure dans l’investigation.
Importante
Vous ne pouvez pas inclure de boîtes aux lettres dans l’étendue d’une investigation, ni inclure de fichiers ou de messages électroniques. Les investigations créées à partir d’incidents, y compris les boîtes aux lettres, doivent être des investigations autonomes. Sélectionnez les boîtes aux lettres dans la zone d’étendue OU les messages électroniques et les fichiers. Les messages électroniques et les fichiers d’un incident peuvent être inclus dans la même investigation.
- Sélectionnez Créer pour créer l’examen.
Les éléments inclus dans l’étendue de l’investigation sont automatiquement inclus en tant que sources de données et vous êtes prêt à commencer à examiner et à ajouter ces éléments à l’étendue d’investigation dans Enquêtes sur la sécurité des données (préversion).
Remarque
Parfois, les sources de données pour le site ou les fichiers SharePoint peuvent ne pas être renseignées automatiquement dans une investigation. Si cette situation se produit, ajoutez manuellement les sources de données et utilisez la requête suggérée.
Créer une investigation à l’aide d’un modèle de recherche
Effectuez les étapes suivantes pour créer rapidement une investigation et configurer l’étendue d’investigation avec des modèles prédéfinis. L’utilisateur qui crée l’investigation est automatiquement ajouté en tant que membre. Les membres de l’enquête peuvent accéder à l’investigation dans le portail Microsoft Purview et effectuer Enquêtes sur la sécurité des données tâches (préversion).
Accédez au portail Microsoft Purview et connectez-vous à l’aide des informations d’identification d’un compte d’utilisateur affecté Enquêtes sur la sécurité des données autorisations (préversion). Les membres du groupe de rôles Gestion de l’organisation peuvent également créer des enquêtes.
Sélectionnez la solution Enquêtes sur la sécurité des données (préversion) carte, puis sélectionnez Investigations dans la navigation de gauche.
Sélectionnez Créer.
Dans la boîte de dialogue Créer une investigation , renseignez les champs suivants :
- Titre : Donnez un nom à l’enquête (obligatoire). Le nom de l’enquête doit être unique dans votre organization.
- Description : ajoutez une description facultative pour aider les autres utilisateurs à comprendre cette investigation.
Sélectionnez Démarrer avec la recherche pour configurer une requête de recherche à l’aide de modèles. Sélectionnez Afficher l’investigation pour ouvrir une investigation et configurer une requête de recherche ultérieurement.
Sélectionnez un modèle d’investigation. Choisissez parmi Mot clé, Identificateur unique, Types d’informations sensibles, Étiquettes de confidentialité ou Langage naturel.
Renseignez les champs requis pour le modèle sélectionné.
Sélectionnez estimation pour exécuter une requête basée sur les valeurs du modèle de recherche. L’estimation vous aide à comprendre les résultats de la requête avant d’ajouter des éléments associés à l’étendue de l’étendue d’investigation.
Importante
L’ajout d’éléments à une étendue d’investigation ajoute automatiquement ces éléments au compteur de stockage de données pour votre organization. Les éléments ne peuvent pas être supprimés d’une étendue d’investigation et les tarifs de facturation pour ce stockage de données restent en vigueur jusqu’à ce que l’examen soit supprimé. Nous vous recommandons d’examiner attentivement les éléments de l’estimation avant d’ajouter ces éléments à l’étendue d’une étendue d’investigation.
- Sous l’onglet Rechercher pour l’examen, passez en revue les statistiques récapitulatives de l’estimation. Si vous devez mettre à jour la requête pour affiner les résultats, sélectionnez l’onglet Affiner la recherche et utilisez les sources de données et les contrôles du Générateur de requêtes pour mettre à jour les conditions de requête.
- Lorsque vous affinez et finalisez votre requête et que vous êtes satisfait des résultats, sélectionnez Ajouter à l’étendue pour ajouter les éléments à l’étendue d’investigation.
Créer une investigation à l’aide du mode brouillon complet
Dans certains scénarios, vous préférerez peut-être créer une nouvelle investigation sans utiliser aucun des modèles de recherche et qui n’est pas associée à un incident Microsoft Defender XDR. Utilisez le mode brouillon complet pour créer une nouvelle investigation afin de commencer par de nouvelles sources de données et requêtes.
Gérer les paramètres d’investigation
Les paramètres d’investigation incluent des informations d’investigation et des autorisations d’accès. Vous pouvez accéder aux paramètres d’une investigation spécifique en sélectionnant Paramètres d’investigation après avoir sélectionné une investigation.
Pour plus d’informations sur les paramètres d’investigation, consultez :